このページは Cloud Translation API によって翻訳されました。

Proofpoint Cloud Threat Response を Google SecOps と統合する

統合バージョン: 1.0

このドキュメントでは、Proofpoint Cloud Threat Response を Google Security Operations と統合する方法について説明します。

ユースケース

Proofpoint Cloud Threat Response の統合は、次のセキュリティオペレーションのユースケースに対応しています。

インシデントの自動取り込み: Proofpoint から Google SecOps にインシデントと関連するメールメッセージを自動的に取り込み、手動モニタリングを減らしてトリアージを迅速化します。
脅威対応の優先順位付け: 特定の重大度と信頼度のしきい値に基づいて取り込まれたアラートをフィルタし、アナリストがまず影響の大きい脅威に集中できるようにします。
詳細な判定分析: Proofpoint の判定（脅威や手動レビューなど）と処分（マルウェアやフィッシングなど）に基づいてインシデントをフィルタリングすることで、ワークフローを効率化します。
カスタム環境マッピング: フィールドマッピングと正規表現パターンを使用して、取り込まれたアラートを特定の環境に動的に割り当て、適切なデータ分離とマルチテナンシーのサポートを確保します。

始める前に

Google SecOps プラットフォームで統合を構成する前に、次のものが揃っていることを確認してください。

Proofpoint API 認証情報: Proofpoint Threat Response アカウントから生成された有効なクライアント ID とクライアントシークレット。これらの認証情報は、統合で認証を行い、Bearer トークンを生成するために必要です。
API ルート URL: Proofpoint Cloud Threat Response インスタンスの特定のエンドポイント（デフォルトは https://threatprotection-api.proofpoint.com）。
ネットワークアクセス: Google SecOps プラットフォームがポート 443 経由で Proofpoint API エンドポイントと通信できることを確認します。組織でプロキシを使用している場合は、プロキシサーバーのアドレスと認証情報を準備します。

統合のパラメータ

Proofpoint Cloud Threat Response の統合には、次のパラメータが必要です。

パラメータ	説明
`API Root`	必須。 Proofpoint Cloud Threat Response インスタンスの API ルート URL。デフォルト値は `https://threatprotection-api.proofpoint.com` です。
`Client ID`	必須。 Proofpoint Cloud Threat Response インスタンスでの認証に使用されるクライアント ID。
`Client Secret`	必須。 Proofpoint Cloud Threat Response インスタンスでの認証に使用されるクライアントシークレット。
`Verify SSL`	必須。選択すると、Proofpoint Cloud Threat Response サーバーに接続するときに SSL 証明書が検証されます。デフォルトで有効になっています。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。

Ping

Ping アクションを使用して、Proofpoint Cloud Threat Response への接続をテストします。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

Ping アクションは次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters! アクションが成功しました。

出力メッセージ	メッセージの説明
`Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters!`	アクションが成功しました。
`Failed to connect to the Proofpoint Cloud Threat Response server! Error is ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Failed to connect to the Proofpoint Cloud Threat Response
      server! Error is ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

コネクタ

Google SecOps でコネクタを構成する方法については、データを取り込む（コネクタ）をご覧ください。

Proofpoint Cloud Threat Response - Incidents コネクタ

Proofpoint Cloud Threat Response - Incidents Connector を使用して、Proofpoint Cloud Threat Response からインシデントと関連するメッセージデータを取得し、アラートとして Google SecOps に取り込みます。

コネクタの入力

Proofpoint Cloud Threat Response - Incidents Connector には、次のパラメータが必要です。

パラメータ	説明
`Product Field Name`	必須。商品名が保存されるフィールドの名前。商品名は主にマッピングに影響します。コネクタのマッピングプロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。デフォルト値は `Product Name` です。
`Event Field Name`	必須。イベント名またはサブタイプを決定するフィールドの名前。デフォルト値は `product` です。
`Environment Field Name`	省略可。イベント名（サブタイプ）を特定するフィールドの名前。デフォルト値は `""` です。
`Environment Regex Pattern`	省略可。 `Environment Field Name` から環境値を抽出または操作する正規表現パターン。デフォルト値は `.*` です。
`Script Timeout (Seconds)`	必須。現在のスクリプトを実行する Python プロセスのタイムアウト上限（秒単位）。デフォルト値は `180` です。
`API Root`	必須。 Proofpoint Cloud Threat Response インスタンスの API ルート URL。デフォルト値は `https://threatprotection-api.proofpoint.com` です。
`Client ID`	必須。 Proofpoint Cloud Threat Response インスタンスでの認証に使用されるクライアント ID。
`Client Secret`	必須。 Proofpoint Cloud Threat Response インスタンスでの認証に使用されるクライアントシークレット。
`Lowest Severity To Fetch`	省略可。取得するインシデントの最も低い重大度レベル。たとえば、`Medium` を選択すると、重大度が中と高の両方のインシデントが取得されます。値は次のいずれかになります。 `Low` `Medium` `High`
`Status Filter`	省略可。取り込みに含めるインシデントステータスのカンマ区切りリスト。指定できる値は `Open` と `Closed` です。デフォルト値は `Open` です。
`Lowest Confidence To Fetch`	省略可。取得するインシデントの最も低い信頼度。たとえば、`Medium` を選択すると、中と高の両方の信頼度のインシデントが取得されます。値は次のいずれかになります。 `Low` `Medium` `High`
`Disposition Filter`	省略可。含める処分結果のカンマ区切りのリスト（例: `malware, phish, suspicious`）。
`Verdict Filter`	省略可。取り込みに含める判定のカンマ区切りリスト。指定できる値は `Failed`、`Low Risk`、`Manual Review`、`Threat` です。
`Max Hours Backwards`	必須。最初の反復処理中またはタイムスタンプの有効期限が切れた場合にインシデントを検索する、現在時刻より前の時間数。デフォルト値は `1` です。
`Max Incidents To Fetch`	必須。コネクタのイテレーションごとに処理するインシデントの最大数。最大値は `9` です。デフォルト値は `9` です。
`Use dynamic list as a blocklist`	必須。選択すると、コネクタは動的リスト（ソース値に基づく）を拒否リストとして使用して、特定のインシデントを除外します。デフォルトでは無効にされています。
`Disable Overflow`	省略可。このオプションを選択すると、コネクタは Google SecOps のオーバーフローメカニズムを無視します。デフォルトでは無効にされています。
`Verify SSL`	必須。選択すると、Proofpoint Cloud Threat Response サーバーに接続するときに SSL 証明書が検証されます。デフォルトでは無効にされています。
`Proxy Server Address`	省略可。使用するプロキシサーバーのアドレス。
`Proxy Username`	省略可。認証に使用するプロキシのユーザー名。
`Proxy Password`	省略可。認証に使用するプロキシパスワード。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。